Reti di Calcolatori e Sicurezza 5. Autenticazione · Il controllo d’accesso si basa...

Thanks to Giampaolo Bella for slides draft!! 1

ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/

Reti di Calcolatori e Sicurezza

5. Autenticazione

Cap. 9,20(seconda metà) SchneierCapitolo 7 Kurose

2Stefano Bistarelli – Reti di calcolatori e Sicurezza

ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/

Panoramica estesa (new)

Thanks to Giampaolo Bella for slides draft!!

Autenticazione Stabilisce l’identità di una “parte” ad un’altraLe parti possono essere utenti o computer

1.computer-computer (stampa in rete, delega,…)2.utente-utente (protocolli di sicurezza, …)3.computer-utente (autenticare un server web,…)4.utente-computer (per accedere a un sistema…)

Spesso richieste varie combinazioniProprietà primaria

Richiesta da un corretto controllo d’accesso


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Tipi di authenticazione

LocaleDesktop systems

DirettaSul server (file, login, ..)

IndirettaWindows domain, radius, kerberos, nis

Off-linePKI …


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Autenticazione indirettaU S

Protocollo di autenticazione1. U S : username2. S U : challenge3. U S : response

– Protocollo di autenticazione indirettoU SR : logon request (chi sono e cosa voglio)SR SA : authentication requestSA SR : authentication response (A/R)SR U : logon response

U SR SA


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Computer-utente – esempio Bob intende autenticare il server web della sua banca1. Bob invia una richiesta al server

2. Il server replica con qualcosa del tipo {“salve Bob, sono il server web della tua banca”}K-1bancaxy

3. Bob scarica il certificato per la chiave pubblica della banca{“banca XY”, Kbancaxy}K-1CAlo verifica ed estrae Kbancaxy

4. Bob usa la chiave ottenuta al passo 3 per verificare ilcertificato ottenuto al passo 2

5. Se Bob ottiene qualcosa di intelligibile, allora autentica ilserver, altrimenti no


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Autenticazione utente-computer

1. Conosce: segretiPassword, PIN, …

2. Possiede: cose fisiche o elettronicheChiavi convenzionali, carte magnetiche o smart

3. E’: caratteristiche biometricheImpronte digitali, dell’iride, tono di voce,…

Basata su qualcosa che l’utente ann0s1


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



What I know


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Authentication

Apriti Sesamo!

Come un sistemapuò associare con certezza unaidentità ad unapersona

Password: usoantico!!


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



1. Autenticazione su conoscenza

Conoscenza fornisce prova dell’identitàCoppia userid-passwordAntico e diffusoSemplice da implementareEconomicoDebole


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Gestione delle password

Il sistema deve memorizzare una rappresentazione delle password. Come??


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Compatible Time Sharing System(CTSS)

1960, MIT

Password memorizzate in chiaro su file di sistema protetto da politica di sicurezza


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



CTSS

Limiti intrinseciIl controllo d’accesso si basa sull’autenticazione (sempre)L’autenticazione si basa sul controllo d’accesso (CTSS)

La storia registra numerose violazioni di questo schema

Memorizzate in chiaro in un file protetto!!Problema! Nessuna protezione contro chi si impossessa del file!!


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



CTSS + hashing

1967, Cambridge University

Il file delle password memorizzi l’hashdelle password


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Password in Unix (cenni)

Memorizzate codificate insieme a saltSalt: sequenza di bit generata dal sistema

Siffatto file delle password memorizzato in directory “shadow”, in nessun modoaccessibile da alcun utente eccetto “root”


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Unix: aggiunta di nuova password

Si esegue un protocollo di sicurezza


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Unix: verifica di una password

Si esegue un protocollo di sicurezza il cui goal principale è l’autenticazione (protocollo di autenticazione)


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Pericoloso??

Inserimento utentiNo passwordDefault passwordInserita dall’utente al momento dellaconsegnaConsegnata dall’amministratore

Obbligo di modificaEntro un certo tempo max

Controllo della password sceltaLunghezza, caratteri,


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Vulnerabilità delle password ...Le password rischiano

1. Guessing: indovinate (dizionario)2. Snooping: sbirciate mentre vengono inserite (Shoulder

surfing)3. Sniffing: intercettate durante trasmissione in rete

(Keystroke sniffing)4. Spoofing: acquisite da terze parti che impersonano

l’interfaccia di login (Trojan login)5. Van Eck sniffing

Chiunque conosca la password di un utente può impersonare in toto quell’utente col sistema!


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



... E difese Sniffing attackShoulder surfing

Password blindingKeystroke sniffing

Memory protection

Trojan loginSpecial key to login

Offline dictionary attack

Shadow password (unix)

Guessing attackAudit-logLimite agli sbagli

Social enginerringCambio password abilitato solo in specifiche circostanzePolicy!!!


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Scelta della passwordDelicata a causa dei rischi di guessing


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Norme fondamentali1.Cambiare password frequentemente

2.Non condividere la password con altri

3.Non usare la stessa password per autenticazioni diverse

4.Usare almeno 8 caratteri

5.Non usare una parola del dizionario

6.BilanciareSemplicità (facile da ricordare, non serve trascriverla)Complessità (difficile da intuire, robusta verso guessing)


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Controlli automatici su password

Restrizioni sulla lunghezza e sul minimo numero di caratteri

Richiesta combinazione di caratteri alfanumerici

Controllo rispetto a dizionariRifiuto delle parole del linguaggio naturale

Verifica del massimo tempo di validitàL’utente deve cambiare la password quando scade


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Alternativa ai controlli

La password sia generata da un apposito sistema in maniera pseudorandom

Non sempre ben accetto (difficoltà nel ricordare)

Ricorrere a one-time password (monouso)Distribuzione improponibile per un uso continuativo


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Tecniche di violazione

Tentativi standard: indipendenti dall’utentePassword tipiche, parole brevi (1-3 caratteri), parole in un dizionario elettronico (decine di migliaia)

Tentativi non-standard: informazionisull’utente

Hobby, nomi parenti, compleanno, indirizzi, numeri di polizze, di targhe, di telefono,…


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Distribuzione iniziale di password

L’utente si reca dall’amministratore e si autentica tradizionalmente

L’amministratore prepara l’account e l’utente digita la password

Rischio potenziale per il sistema!

L’amministratore prepara l’account e sceglie la password iniziale

L’utente la cambierà al primo utilizzo


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



2. Autenticazione su possessoPossesso di un token fornisce provadell’identità

Carte magneticheSmart cardSmart token

Ogni token memorizza una chiave (pwd)Recente e poco diffusoNon proprio economicoPiù robusto delle password


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Pro e contro del sistema- L’autenticazione dimostra solo l’identità

del token, non quella dell’utenteToken persi, rubati, falsificatiRubando un token si impersona l’utente

+ Idea: combinare possesso e conoscenzaBancomat: carta + PIN

+ Vantaggio: molto difficile estrarre un segreto da un token


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Tipi di tokenCarte magnetiche (obsolete)

Smart card per memorizzare pwd robustaMemory card: ha una memoria ma non capacità computazionali

Impossibile controllare o codificare il PINPIN trasmesso in chiaro soggetto a sniffing

Microprocessor card: ha memoria e microprocessore

Possibile controllo o codifica PIN

Smart token


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Smart token

Protetto da PIN

Microprocessor card + tastierina e display

Vero e proprio computer!

Svantaggi: costoso e fragile

445950388697445950388697114477

22 3355 6688

** 1199##


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Smart token – funzionamento

Chiave segreta (seme) memorizzata dallafabbrica, condivisa col serverPrende info esterne (PIN, ora,…) per generare one-time passwordPassword sul display, rinnovata ogni 30-90 secondiSincronizzazione col server grazie a semeed algoritmo comune


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Smart token commerciali


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



3. Autenticazione su caratteristichePossesso di caratteristiche univochefornisce prova dell’identità

Fisiche: impronte digitali, forma della mano, impronta della retina o del viso, …Comportamentali: firma, timbro di voce, scrittura, “keystroke dynamic”,…

Tecnica moderna e promettente

Template: rappresentazione digitale delle caratteristiche univoche del dato biometrico


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



FunzionamentoFase iniziale di campionamento

Esecuzione di più misurazioni sulla caratteristica d’interesseDefinizione di un template

Autenticazione: confronto fra la caratteristicaappena misurata rispetto al templateSuccesso se i due corrispondono a meno di una tolleranza, che va definita attentamentePerfetta uguaglianza tecnicamente imposs.


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Problema

Confrontare la caratteristica appena misurata dall’utente col template di quell’utente

Distinguendola dal template di un altro utente!


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Rilevamenti

Differenza misurata dal template dell’utente

Num

ero

di ri

leva

men

ti

Aumentando il numero di rilevamenti in fase di autenticazione diminuisce la distanza dal template del giusto utente


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Rilevamenti

Differenza misurata dal template di altro utente

Num

ero

di ri

leva

men

ti

Aumentando il numero di rilevamenti in fase di autenticazione aumenta la distanza dal template di un altro utente


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Punto di “equal error rate”

Differenza misurata dal template del giusto utente e dal template di altro utente

Num

ero

di ri

leva

men

ti

altro

ute

nteUtente giustoVorremmo

diminuire i rilevamenti per praticità

Però arriviamo al punto di massima indecisione!


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Discussione Forma di autenticazione più forte anche se tecnicamente meno accurata

Eliminate in pratica le impersonificazioni

Ancora poco utilizzata: costosa e intrusivaNon sempre accettata dagli utentiGli scanner di retina sono accurati ma si temono conseguenze sulla retina…

Dibattiti politici e sociali per potenziale mancanza di privacy


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Esempio: le impronte digitaliPiccole righe che si formanosu mani e piedi ancor prima della nascita

Restano inalterate per tutta la vita dell’individuo (a meno di incidenti)

Il pattern presente sulle dita è unico per ogni individuo

Il riconoscimento di improntedigitali è uno dei metodi piùcomuni ed affidabili per ilriconoscimento di identità


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Dall’inchiostro…Una volta si premeva il dito sull’inchiostro e poi sulla carta con movimento rotatorio


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



… ai lettori otticiOra basta poggiare un attimo il dito sul lettore


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Classificazioni di impronte

Classificate in tre grandi gruppi in base allo “schema” predominante


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Schema Loop

Schemi circolari che escono verso l’esterno

Caratterizza circa il 60% della popolazione


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Schema Arch

Cerchi che escono da entrambi i lati

Raro: caratterizza solo il 5% della popolazione


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Schema Whorl

Cerchi concentrici, nessuna linea esce dall’immagine

Caratterizza circa il 35% della popolazione


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Riconoscimento di impronteNecessita di algoritmi avanzati per il riconoscimento delle immagini digitali

Minuzierappresentano la fine e il punto di biforcazione delle lineeuniche per individuostandard nei sistemi di riconoscimento


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Quale tecnica di autenticazione?

Tecnicamente la più forte è quella basata sulle caratteristiche univoche dell’utenteBilancio costi-benefici: metodi più deboli possono andare bene in certi casiLe password sono il meccanismo più antico ma sono e saranno nel breve futuro quello più utilizzato


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/




ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Aggiunta di autenticazione!Una password per accedere al sistema

Una per accedere al file system

Una per la rete

La stampa

La posta

…Scomodo! Ancor peggio con token!


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Accesso singoloDef. Usare unica credenziale di autenticazione

per accedere a tutti i servizi

Soluzione comoda ma poco robustaUn’unica password per tutto

Kerberos è un protocollo reale che si occupa di questo problema (e non solo)


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Kerberos (fine anni ’80)

In mitologia Greca: cane a tre teste guardiano delle porte dell’AdeGoal: segretezza, autentica (ad accesso singolo), temporalità

le chiavi usate hanno validità limitata onde prevenire replay attack

Usa i timestamp, che richiedono macchine sincronizzate, contro replay attack


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Kerberos – schema

KDC


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Kerberos – caratteristiche

3 fasi: autenticazione, autorizzazione, servizioUltime 2 opzionali e trasparenti all’utenteOgnuna fornisce credenziali per successiva

Fase I fornisce authKey e authTicket per la IIFase II fornisce servKey e servTicket per la III

Ogni tipo di chiave di sessione ha sua durataUna authKey può criptare diverse servKey


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Kerberos – eventi I. AUTENTICAZIONE1.A → AS : A,TGS,T12.AS → A : {authK,TGS,Ta,{A,TGS,authK,Ta}Ktgs}Ka

II. AUTORIZZAZIONE3.A → TGS : {A,TGS,authK,Ta}Ktgs, {A,T2}authK, B4.TGS → A : {servK,B,Ts,{A,B,servK,Ts}Kb}authKIII. SERVIZIO5.A →B : {A,B,servK,Ts}Kb, {A,T3}servK6.B →A : {T3+1}servK

servTicket

servTicket

autenticatore 1

autenticatore 2

authTicket

authTicket


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Kerberos – gestione delle chiaviAS genera authK al tempo Ta TGS genera servK al tempo TsValidità

di authK (ossia di Ta) in ore, diciamo Ladi servK (ossia di Ts) in minuti, diciamo Lsdi un autenticatore (ossia di T1, T2 e T3) in sec.

Tgs può generare servK solo qualora siaTs + Ls ≤ Ta + La

altrimenti problema di cascata dell’attacco


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Cascade attack

Supponiamo che C abbia violato una chiave di sessione (di autorizzazione) scaduta authK che B condivise con A

Con semplice decodifica ottiene servK ancora valida se non si impone Ts + Ls ≤ Ta + La

C può accedere a B per la durata residua di Ls

Def. Un attacco ne provoca altri direttamente

III. SERVICE5. C →B : {A,B,servK,Ts}Kb, {A,T3’}servK6. B →A : {T3’+1}servK (intercettato)


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Discussione

Replay attack su N-S simmetrico nell’ipotesiche chiavi di sessione vecchie siano insicure

Vecchio: genericamente, del passato – non esiste temporalità

Cascade attack su Kerberos nell’ipotesi chechiavi di sessione scadute siano insicure

Scaduto: specificatamente, il cui intervallo di validità sia scaduto – esiste temporalità


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Autenticazione fra domini

Dominio = realm Kerberos


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Kerberos in pratica

Versione IV: ristretta a un singolo realmVersione V: funzionamento inter-realmAltre differenze: scelta dell’algoritmo di crittografia impossibile in IV (DES); sceltadel lifetime impossibile in IVVersione V è uno standard di vastissimo utilizzo (specificato in RFC1510)


ww

w.s

ci.u

nich

.it/~

bist

a/di

datti

ca/re

ti-si

cure

zza/



Usare KerberosServe un KDC sul proprio dominio

Tutte le applicazioni partecipanti devono essere servizi Kerberos

Problema: gli algoritmi crittografici americani non possono essere esportati

I sorgenti di Kerberos non possono lasciare gli USAIl crittosistema va implementato localmente

Reti di Calcolatori e Sicurezza 5. Autenticazione · Il controllo d’accesso si basa...

Documents

Transcript of Reti di Calcolatori e Sicurezza 5. Autenticazione · Il controllo d’accesso si basa...